Intolleranza lunga stretta di mano (SSL / TLS) - Riga di comando

0

Come si può controllare l'intolleranza al lungo handshake sul terminale per un sito Web remoto?

Se qualcuno conosce un comando openssl o senza l'uso di openssl, ti preghiamo di suggerire!

Per favore non suggerire l'uso di ssllabs.com.

    
posta Aghori 16.03.2018 - 12:59
fonte

1 risposta

2

Intolleranza lunga stretta di mano significa che il server non può gestire ClientHello con più di 255 byte (o in caso di F5: oltre 255 e meno di 513 byte). Puoi simulare tali strette di mano ad esempio con openssl s_client specificando un numero di cifrari quanto necessario per raggiungere questa dimensione. Per esempio ottengo

$ openssl s_client -connect google.com:443 -servername google.com -cipher ALL -debug
CONNECTED(00000003)
write to 0xe1b9c0 [0xe1ba40] (354 bytes => 354 (0x162))
...

Ciò significa che il record SSL iniziale (cioè il ClientHello) aveva una dimensione di 354 byte poiché sono inclusi molti cifrari. Questo è chiaramente più di 255 byte e se si ottiene una connessione riuscita con il server con questa intolleranza stretta di mano lunga non è un problema. Se la connessione fallisce, potrebbe essere dovuta a una prolungata intolleranza alla stretta di mano, ma potrebbe anche avere diverse ragioni. In caso di F5 il sintomo era che la connessione era semplicemente bloccata, cioè nessuna risposta dal server ma anche nessuna chiusura immediata della connessione TCP.

Si noti che la dimensione effettiva di ClientHello varia a seconda del nome del server (argomento -servername ) e dei codici disponibili nella versione di OpenSSL e forse alcune estensioni aggiunte.

    
risposta data 16.03.2018 - 13:59
fonte

Leggi altre domande sui tag